X

Actueel

15aug

Een datalek zit in een klein hoekje

Door: Daan Vellinga

Ik merk dat veel mensen wat zenuwachtig reageren op wet- en regelgeving zoals de Wet Meldplicht Datalekken en de Algemene verordening gegevensbescherming (AVG/GDPR). De mogelijke effecten van het lekken van gevoelige gegevens kunnen inderdaad tegenwoordig flink vergroot worden door sancties van de overheid. Technisch gezien is er echter weinig veranderd. Je moet nog steeds je zaakjes op orde hebben. Het is niet zo dat er nu opeens andere soorten lekken mogelijk zijn. Het gaat nog steeds om de zelfde problemen met informatiebeveiliging als voorheen, alleen is er nu wetgeving over gevallen waarin die problemen leiden tot datalekken.

 

Welke kwetsbaarheden kunnen leiden tot een datalek?

Alle kwetsbaarheden.

Bij een datalek gaat het om toegang tot of vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens, en verlies van (toegang tot) persoonsgegevens.

Dat is vrij ruim. Als ik een kwetsbaarheid vind in een systeem waarin persoonsgegevens worden verwerkt, dan kan je er van uit gaan dat misbruik van die kwetsbaarheid leidt tot een datalek.

 

Een voorbeeld: het blijkt dat een inlogpoging in een webapplicatie 42 milliseconden duurt met gebruik van een ongeldige gebruikersnaam en een ongeldig wachtwoord. Een inlogpoging met een ongeldig wachtwoord maar met een geldige gebruikersnaam kost echter steeds 128 milliseconden.

Door gebruik te maken van deze kennis kan ik brute force wachtwoordaanvallen versimpelen door eerst te zoeken naar geldige gebruikersnamen en daarna pas te zoeken naar geldige wachtwoorden. Dat is zo'n significante optimalisatie van mijn aanval dat het ineens een reële mogelijkheid wordt om op die manier toegang te krijgen tot een gebruikersaccount. Wanneer ik dan van de betreffende gebruiker persoonsgegevens kan inzien, is er al sprake van een lek. De ernstigheid ervan, en daarmee de bijbehorende sanctie, hangt af van de hoeveelheid en aard van gelekte gegevens.

 

Het blijkt: "een datalek zit in een klein hoekje".

Related

Vest in tv-programma RTL Z How it's Done

Vest in tv-programma RTL Z How it's Done

Op zaterdag 16 maart om 17h00 zal Vest te zien zijn in het RTL Z televisie programma How it's Do...

Read More >
Bewust omgaan met je omgeving

Bewust omgaan met je omgeving

Weet jij wie er mee kan lezen of luisteren? Sta jij daar wel eens bij stil? Feit is dat we hier vaak...

Read More >

In control tijdens Corona

Onze wereld is sinds het Corona virus sterk veranderd. In dit artikel gaan we in op de lessen die de...

Read More >
De CMDB voor persoonsgegevens

De CMDB voor persoonsgegevens

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het li...

Read More >
De ontwikkeling van de Corona app

De ontwikkeling van de Corona app

Begin april kondigde de overheid aan dat er apps zouden worden gaan ingezet voor het verzamelen van ...

Read More >
Vest op Linkedin

Vest op Linkedin

Als Vest zijnde blijven wij graag in contact met ons netwerk. Naast het persoonlijke kopje koffie zi...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.